1.逆向及Bof基础实践说明
1.1 实践目标
实验对象:一个名为pwn1的linux可执行文件。
实验流程:main调用foo函数,foo函数会简单回显任何用户输入的字符串。该程序同时包含另一个代码片段,getShell,会返回一个可用Shell。正常情况下这个代码是不会被运行的。
实验目标:想办法运行这个代码片段。我们将学习两种方法运行这个代码片段,然后学习如何注入运行任何Shellcode。
三个实践内容如下:
- 手工修改可执行文件,改变程序执行流程,直接跳转到getShell函数。
- 利用foo函数的Bof漏洞,构造一个攻击输入字符串,覆盖返回地址,触发getShell函数。
- 注入一个自己制作的shellcode并运行这段shellcode。
- 这几种思路,基本代表现实情况中的攻击目标:
- 运行原本不可访问的代码片段
- 强行修改程序执行流
- 以及注入运行任意代码
1.2 基础知识
- 熟悉Linux基本操作
- 能看懂常用指令,如管道(|),输入、输出重定向(>)等。
- 理解Bof的原理。
- 能看得懂汇编、机器指令、EIP、指令地址。
- 会使用gdb,vi。
-
指令参数:
- 一些具体的问题可以边做边查,但最重要的思路、想法不能乱。
- 要时刻知道,我是在做什么?现在在查什么数据?改什么数据?要改成什么样?每步操作都要单独实践验证,再一步步累加为最终结果。
-
理解思路:
- 看指导理解思路,然后抛开指导自己做。
- 碰到问题才能学到知识。
- 具体的指令可以回到指导中查。
2.直接修改程序机器指令,改变程序执行流程
-
知识要求:
-
Call指令,EIP寄存器,指令跳转的偏移计算,补码,反汇编指令objdump,十六进制编辑工具
-
学习目标:理解可执行文件与机器指令
- 进阶:掌握ELF文件格式,掌握动态技术
2.1下载目标文件pwn1,反汇编。
将pwn1可执行文件复制到共享文件夹中,然后复制到kali的主目录中,重命名为4312,然后使用反汇编语言 objdump -d 4312 | more 对其进行反汇编,得到结果:
- "call 8048491 "是汇编指令
- 是说这条指令将调用位于地址8048491处的foo函数;
- 其对应机器指令为“e8 d7ffffff”,e8即跳转之意。
- 本来正常流程,此时此刻EIP的值应该是下条指令的地址,即80484ba,但如一解释e8这条指令呢,CPU就会转而执行 “EIP + d7ffffff”这个位置的指令。“d7ffffff”是补码,表示-41,41=0x29,80484ba +d7ffffff= 80484ba-0x29正好是8048491这个值
-
main函数调用foo,对应机器指令为“ e8 d7ffffff”,
- 那我们想让它调用getShell,只要修改“d7ffffff”为,"getShell-80484ba"对应的补码就行。
- 用Windows计算器,直接 47d-4ba就能得到补码,是c3ffffff。
-
下面我们就修改可执行文件,将其中的call指令的目标地址由d7ffffff变为c3ffffff。
2.2使用vi打开文件,找到应修改位置完成修改
输入 :%!xxd 将文件转为16进制编码显示:
找到e8d7然后将其修改为e8c3:
完成修改,输入:wq存盘退出。
2.3参看文件修改情况并运行。
运行可执行文件test4312,发现程序能够调用shell,完成任务1。
3 通过构造输入参数,造成BOF攻击,改变程序执行流
知识要求:堆栈结构,返回地址
学习目标:理解攻击缓冲区的结果,掌握返回地址的获取
进阶:掌握ELF文件格式,掌握动态技术
3.1 反汇编,了解程序的基本功能
注意这个函数getShell,我们的目标是触发这个函数该可执行文件正常运行是调用如下函数foo,这个函数有Buffer overflow漏洞这里读入字符串,但系统只预留了4字节的缓冲区,
超出部分会造成溢出,我们的目标是覆盖返回地址
3.2 确认输入字符串哪几个字符会覆盖到返回地址
输入info r 查看寄存器信息,通过查询ascll表,发现eip中存放数据为4567(3多输了一个),就可以立即判定哪四位会覆盖到返回地址。
3.3 确认用什么值来覆盖返回地址
getShell的内存地址,通过反汇编时可以看到,即0804847d。
接下来要确认下字节序,简单说是输入11111111222222223333333344444444\x08\x04\x84\x7d,还是输入11111111222222223333333344444444\x7d\x84\x04\x08。
由于我们没法通过键盘输入\x7d\x84\x04\x08这样的16进制值,所以先生成包括这样字符串的一个文件。\x0a表示回车,如果没有的话,在程序运行时就需要手工按一下回车键。
4. 注入Shellcode并执行
4.1准备一段Shellcode
- shellcode就是一段机器指令(code)
- 通常这段机器指令的目的是为获取一个交互式的shell(像linux的shell或类似windows下的cmd.exe),
- 所以这段机器指令被称为shellcode。
- 在实际的应用中,凡是用来注入的机器指令段都通称为shellcode,像添加一个用户、运行一条指令。
参考同学的文章Shellcode入门生成的shellcode。如下:
4.2 准备工作
修改些设置。这部分的解释请看第5小节Bof攻击防御技术.
安装execstack:
按实验进行配置:
4.3 构造要注入的payload。
- Linux下有两种基本构造攻击buf的方法:
- retaddr+nop+shellcode
- nop+shellcode+retaddr。
- 因为retaddr在缓冲区的位置是固定的,shellcode要不在它前面,要不在它后面。
- 简单说缓冲区小就把shellcode放后边,缓冲区大就把shellcode放前边
按照retaddr+nop+shellcode模式进行注入:
在打开另外一个终端,用gdb来调试mxt4312这个文件:(需要先找到mxt4312执行的进程号)
通过info r esp 查看寄存器,找到01020304,即返回地址,shellcode就在该地址之后,因此,将\x4\x3\x2\x1改为\x90\xd3\xff\xff即可:
实验收获与感想:
这次的实验我不是在上课之前做的,在老师讲解之前我对这次实验可以说是毫无头绪,不知道该如何下手,上完课之后,我对该怎么实现有了大概的了解但是自己也没动手做,其实大部分的细节,我都不是很熟悉,比如说命令,实验顺序都不是很懂,对于为什么这么做也是一知半解,然后我就去博客看了很多别的同学的作业,进行一个比对,然后自己在虚拟机上先按照已经做好了的同学的步骤来做,当然这样很简单,但我也不是简单的抄代码,每输入一行代码,我都会对这一步骤进行思考,为什么这么做,在做完一遍之后,我终于对整个实验有了整体上的把握,并完成了本次实验的报告,除此之外,我还打算再多看几遍自己写的博客,做到对实验的每个步骤都聊熟于心,当然,这次实验我肯定是有所收获的,在基于基本的linux的基础上,我又对网络漏洞等有了新的了解,总的来说,自己动手做实验比看老师做实验更加重要,能让自己学到更多,而不是只懂理论,不会动手做的一知半解。
什么是漏洞?漏洞有什么危害?:
我觉得漏洞就是是计算机安全方面的缺陷,一个可执行文件中代码的不规范性或者说是不确定性,这些代码可能存在某些缺陷,在执行文件时可能会出现漏洞,针对程序设计缺陷,向程序输入缓冲区写入使之溢出的内容,从而破坏程序运行、趁着中断之际获取程序。用心不良的人会仔细研究你的代码,可能并且很可能会找到代码中的漏洞,借助这些漏洞,黑客可以执行自己的代码,在你的电脑中植入后门或者病毒从而达到自己的目的。